Сообщения Symantec о W32.Flamer

[Энди-701]

Symantec сообщает о новой вирусной угрозе W32.Flamer!!!


28 мая в блоге AR Sharma появилось первое сообщение Symantec о Flamer, как новой угрозе.

Вот оно:

Just now 'The Flame', the most powerful malware till date has been identified. Again, we must say that calling 'The Flame' a malware is insult for 'The Flame'.
When security community can call Stuxnet- the first cyber weapon, then 'The Flame' should be called as first nuclear cyber weapon.
'Flame' is the 20 times more complex than Stuxnet. Antivirus companies took 6 months to analyze Stuxnet. Imagine how much time and effort would be required to analyze 'The Flame'
'Flame' is massive and most likely targeted for Iran and Isreal.
Once the PC is infected with 'Flame', it steals all info including password, traffic, image, audio and keystrokes.
In the group of malware, 'Flame' joins the elite club along with Stuxnet and Duqu.
'Flame' is the sophisticated attack toolkit. When fully deployed, it's over 20 Mb in size. Such a huge size is due to many different libraries that it includes. And, this makes Flame difficult to analyze.
Flame doesn't target any specific sector or organization. All of us are equally vulnerable.


Наш перевод:

На сегодня Flamer является самой мощной вредоносной программой, из всех известных до настоящего времени.
Если Stuxnet можно назвать первым мощным кибер-оружием, то Flamer сродни первому ядерному оружию в киберпространстве.
Flamer в 20 раз сложнее, чем Stuxnet. У антивирусных компаний ушло полгода на анализ Stuxnet. Представьте, сколько времени и усилий потребуется для анализа Flamer.
Flamer массивное ПО и, скорее всего, нацелено против Ирана и Израиля (точнее, Палестины).
Когда Flamer заражает компьютер, он крадёт всю информацию, включая пароли, трафик, изображения, аудиофайлы и вводимую информацию.
В группе вредоносных программ, Flamer входит в один элитный клуб вместе с Stuxnet и Duqu.
Flamer является сложным инструментом атаки. Размер при полной установке — более 20 Мб. Таким большим размером он обязан различным библиотекам в его составе. И это же затрудняет его анализ.
В общем плане Flamer не направлен против какой-либо отдельной отрасли или организации. Мы все одинаково уязвимы.


Судя по дате, это сообщение было самым первым, и только потом по нашим СМИ пролетело сообщение о том, что якобы ЛК совместно с Международным союзом электросвязи обнаружили новый вид вредоносного программного обеспечения, которое, уже по их словам, используется рядом стран в качестве инструмента для кибершпионажа...

Ими тоже сообщалось, что Worm.Win32.Flame перехватывает трафик и похищает данные, в том числе снимки экрана, данные о системах, файлы, контактные данные пользователей, аудиозаписи разговоров. Ему якобы уже более двух лет, если считать с марта 2010 года, но до сих пор он не обнаруживался антивирусами из-за сложности и точечной направленности, а также из-за географии атак. Скорее всего Flame использует специфичные уязвимости в ПО, и "заточен" под конкретные компьютеры.

По информации агентства Рейтер, общее число зараженных программой машин не превышает 5 тысяч и наибольшее их число было выявлено в Иране, Израиле, Палестине, Судане и Сирии.


Symantec оперативно сообщила о появлении новой угрозы — компьютерного червя W32.Flamer. Используя ряд уязвимостей различных версий ОС Microsoft Windows, он проникает на компьютеры с целью хищения информации, применяя для этого самые современные технологии перехвата и съёма данных. Более того, специалисты Symantec были знакомы с ней и ранее.

"W32.Flamer — самая сложная вредоносная программа из когда-либо найденных", отмечают в Symantec, - "Она ворует данные и не оставляет следа!"

«Статистика географического расположения инфицированных систем позволяет предположить, что его первичная нацеленность — это страны Ближнего Востока, в особенности Иран, а также Ливия, Палестина и Венгрия, — говорится в сообщении Symantec. — Немного позже он также был обнаружен в Австрии, Венгрии, Гонконге, ОАЭ и России».

Они обратили внимание на W32.Flamer, когда изучали другую вредоносную программу — Stuxnet, из-за которой в апреле на несколько дней от Интернета пришлось отключить иранские нефтяные заводы. Stuxnet — червь-вредитель, W32.Flamer — червь-разведчик, но неспециалист разницы между ними не заметит, объясняют в Symantec.

«Это такой потаенный червь, который залезает через черный вход и ищет конкретную информацию. Он копирует ее с пораженной машины и отсылает хозяину, причем пользователь даже не догадывается, что происходит. Червь способен пересылать огромные объемы информации», — говорится в сообщении Symantec. Блокируя антивирусные системы, W32.Flamer крадет скриншоты, документы, проникает в другие устройства, подсоединенные через USB. Когда в апреле специалисты из лаборатории криптографии и системной безопасности Университета Будапешта стали исследовать W32.Flamer, они поняли, что червь «живет» уже около двух лет. Среди пораженных стран — Иран, Ливан, ОАЭ, это как минимум 100 организаций и физических лиц.

Размышляя, кто может стоять за созданием такого мощного червя как W32.Flamer, эксперты Symantec не исключают США и Израиля. Вероятно, что код на протяжении 10 месяцев писала «организованная группа специалистов с хорошим финансированием и дальновидным руководством», которая, скорее всего, находится под контролем правительства. Какова цель W32.Flamer — неизвестно. Среди пострадавших — компании и лица самого разного профиля и рода деятельности. «Это самая сложная вредоносная программа из когда-либо найденных», — резюмируют в Symantec.

Министерство телекоммуникаций Ирана заявило, что у них есть способы борьбы с выявленным на Ближнем Востоке компьютерным вирусом Flame, специализирующимся на хищении данных, сообщает агентство Франс Пресс.

Подведомственный министерству телекоммуникаций Ирана исследовательский центр Maher «смог идентифицировать вирус Flame и затем создать антивирус (точнее Flame Removal Tool), способный распознавать и уничтожать его». Спасительным антивирусом госучреждения смогут воспользоваться, направив запрос в министерство. Впрочем, в данный момент утилита удаления Flame находится в открытом доступе. Скачать >>>

[Энди-701]

Мой перевод статьи Symantec "Flamer: Highly Sophisticated and Discreet Threat Targets Middle East" - "Flamer: крайне изощренная и скрытная угроза, нацеленная на Ближний Восток" (с некоторыми несущественными сокращениями)



"""По нашим данным эта новая угроза работает незаметно по крайней мере уже 2 года. Мы связались по этому вопросу с венгерскими специалистами из CrySys Lab, которые выпустили свой собственный анализ, и у них она упоминается как sKyWIper (скачать PDF-документ).

Налицо все признаки того, что W32.Flamer является той же вредоносной угрозой, о которой сообщали недавно из Ирана. Наш анализ полученных образцов выявил сложный код, состоящий их нескольких компонентов. На первый взгляд, исполняемый файл является вполне "добропорядочным", но дальнейшее исследование показывает, что у него имееются скрытый вредоносный функционал.

По сложности кода W32.Flamer находится на одном уровне с Stuxnet и Duqu, т.е. двумя самыми сложными на сегодняшний день вредоносными программами. Как и у них, этот код однозначно не был написан одним человеком. За его созданием стоит организованная, хорошо финансируемая группа людей, работающая на конкретную, чётко поставленную задачу. Некоторые имена уже описаны в инциденте с участием Иранского нефтяного министерства.

Хотя наш анализ в настоящее время продолжается, основной функционал уже известен. Начальная данные показывают, что цели этой угрозы находятся, прежде всего, в Восточной Европе и на Ближнем Востоке... Антивирусное ПО Symantec детектирует эту угрозу как W32.Flamer.


Деятельность угрозы W32.Flamer

Изучив работу основных компонентов W32.Flamer и его конфигурационный файл, мы можем определить некоторые цели W32.Flamer в операционной системе и определить время их появления. Их алгоритм работы ещё скорее всего будет уточняться в процессе нашей дальнейшей работы. Пока было обнаружено всего несколько компонентов. К ним относятся:

advnetcfg.ocx
ccalc32.sys
mssecmgr.sys
msglu32.ocx
boot32drv.sys
nteps32.ocx

Например, что касается advnetcfg.ocx, то первый вариант advnetcfg.ocx датируется сентябрем 2010 года, а второй появился в феврале 2011 года.
Файл конфигурации ccalc32.sys также имеет два варианта, оба из которых появились примерно в то же время, как и файл advnetcfg.ocx.



Рисунок 1. Хронология деятельности угрозы W32.Flamer

В дополнение к нашим первоначальным данным.
Есть неподтвержденные сообщения о данной инфекций, начиная с 2007 года. Мы постараемся подтвердить эти сообщения в ближайшие дни.



Рисунок 2. Распространение угрозы W32.Flamer

Согласно изученному статистическому материалу по зараженным компьютерам можно констатировать, что главной мишенью этой угрозы на данный момент являются компьютеры в Венгрии, Иране, Палестине, Судане, Сирии, Саудовской Аравии и Ливане. Тем не менее, у нас есть дополнительные доклады из Австрии, России, Гонконга, Объединенных Арабских Эмиратов и некоторых других стран. По ним можно видеть, что кроме конкретных целей — компьютерных систем в крупных организациях, под ударом оказались и персональные компьютеры, использующиеся их владельцами для выхода в Интернет у себя дома.


Некоторые подробности по угрозе W32.Flamer

Отдельные компоненты угрозы были получены нами в разное время и в настоящее время анализируются и сопоставляются. Некоторые из них написаны таким образом, что не являются откровенным Malware. Сам код довольно сложен, что и затрудняет анализ.

В общем плане функциональность угрозы включает в себя:

- возможность кражи информации из документов различного типа, включая цифровые снимки (даже с данными GPS), презентации, проектные и технические схемы;
- возможность сканирования дисков заражённого компьютера на наличие определённых расширений и контента;
- возможность создания скриншотов с Рабочего стола Windows в случае активности определённых процессов;
- возможность перехвата речевой информации через встроенный микрофон и её пересылку в зашифрованном виде;
- возможность перехвата сетевых пакетов, обнаружение сетевых ресурсов и сбор перечня уязвимых паролей;
- возможность использования Bluetooth-интерфейсов для взаимодействия с близкорасположенными компьютерами;
- возможность распространения через съёмные диски и по локальной сети;
- возможность создания безопасного соединения с C&C-серверами через SSH и HTTPS-протоколы;
- возможность приёма и передачи зашифрованных данных управляющим серверам;
- возможность использования более десятка доменов для приема команд с управляющих серверов;
- возможность заражения операционных систем Windows XP, Vista и 7;
- возможность обхода 43-х известных антивирусов, anti-malware и других программ по безопасности;
- возможность отключения работающих программ безопасности и защиты;
- кроме того, при определенных условиях, данная угроза также может использовать в своих целях для распространения через сеть несколько известных и исправленных ​​в Microsoft уязвимостей ОС Windows, например уязвимость принтера, которую эксплуатирует и Stuxnet.

Общий размер кода всех модулей достигает 20 МБ, что в 20 раз превосходит по размеру Stuxnet. Такой большой размер файл и позволил вредоносу долго оставаться вне поля зрения антивирусных программ. Более того, создатели Flamer'а датировали его компоненты разными годами, чтобы нельзя было узнать, когда он создан на самом деле.



Рисунок 3. Описание взаимодействия различных известных на данный момент компонентов угрозы. Имена файлов могут меняться.

Подробности о каждом файле можно прочесть в оригинальном сообщении Symantec Security Response.



Рисунок 4. Описание компонентов mssecmgr.ocx

Из них стоит особо отметить файл mssecmgr.ocx, т.к. его функциональность связана с другим файлом ~DEB93D.tmp, который в упомянутом выше отчёте сторонних исследователей и является тем самым wiper-virus (PDF-документ), который вывел из строя нефтяные терминалы в Иране, стерев с них всю информацию (см. иранский веб-отчет CERTCC).

Программный код угрозы содержит многочисленные ссылки на строку "FLAME" (англ. — «Пламя»), которые могут идентифицировать и атакующие участки кода, и указывать на принадлежность к проекту с таким названием.



Рис. 5-6. Декомпилированный код W32.Flamer (слева) и Модуль установки W32.Flamer (справа).

Модульная природа этой вредоносной программы свидетельствует о том, что некая группа разработчиков создавала его с целью поддержания проекта в течение длительного периода времени. Потому, скорее всего, в ближайшее время будет выявлено и другое вредоносное ПО, которое было создано для тех же целей.

Архитектура, используемая в W32.Flamer, позволяет его авторам очень быстро изменять функционал и вредоносное поведение. Изменения могут быть внесены в качестве обновления функциональности, исправления, или для защиты от обнаружения.

Анализ и исследование различных компонентов угрозы продолжаются, потому дополнительные более глубокие технические подробности и другие обнаруженные нами данные будут опубликована в ближайшее время."""

PS. Ну что ж, на данный момент W32.Flamer представляется нам каким-то уникальным кибер-шпионом.

[Энди-701]

Перевод статьи "Flamer Blasts Its Way Round the Middle East"



"""Если бы я мог тайно войти в ваш дом и добраться до вашего ПК, то я смог бы увидеть все ваши личные файлы, заглянуть в историю браузера, установить шпионские устройства и программы на компьютер, а в комнатах — камеры и подслушивающие устройства. Но на самом деле я не могу просто так войти в ваш дом: ваша собака будет лаять, вы услышите, как я поворачиваю ручку двери или разбиваю окно. И даже, если бы мне удалось проникнуть внутрь, вы, наверное, заметили бы меня и вызвали полицию. Но есть тип вредоносных программ, которые могли делать все эти ужасные вещи незаметно на протяжении, как минимум, двух лет. И, оказывается, некоторые люди всё же заметили их деятельность и сообщили об этом сообществу.

Называется эта программа Flamer (буквально: "огнемет") или W32.Flamer. За её созданием стоит организованная, хорошо финансируемая группа людей, работающая на конкретную, чётко поставленную задачу. Специалисты говорят, что Flamer далеко превзошёл даже наделённый дьявольской хитростью Stuxnet, вредоносную программу, целью которой было причинить вред иранской ядерной отрасли. Смотрите видео от 60 CBS News "60 Minutes program coverage of Stuxnet".

Так что же Flamer может сделать? Он может красть ваши файлы, делать скриншоты рабочего стола, отключать интернет-связь для обеспечения своей безопасности, распространяться на USB-дисках и пр.пр.. Всё это делает Flamer особо опасным и свидетельствует о развитии нового направления вредоносных программ, ориентированных на конкретные задачи и конкретные цели...

Кто и что являются целями Flamer? До сих пор большинство таких целей были зафиксированы в Восточной Европе (Венгрия, Россия, Австрия), на Ближнем Востоке (Иран, Палестина, Ливан, Объединенные Арабские Эмираты) и даже в Гонконге. Компьютеры некоторых отдельных лиц, возможно, подверглись нападениям в связи с их личной деятельностью, а не в зависимости от страны проживания или занятости в компании.

Главное, понимать, что пользователи программного обеспечения Norton защищены от этой угрозы. Антивирусное ПО Norton by Symantec будет обнаруживать вредоносное как W32.Flamer и вести профилактику системы.

Если Вы живёте не в упомянутых выше странах, то вы, вероятно, находитесь в безопасности. Но чтобы не потерять бдительность и поддерживать интернет-безопасность на должном уровне используйте встроенную возможность операционной системы по автоматической установке последних обновлений для вашего ПО.

Если вы вставили в USB-порт переносной диск или флешку, то не открывайте его, пока не проверите на наличие вредоносных программ. Никогда не кликайте по неизвестным ссылкам в сообщениях электронной почты, социальных сетях или в другом месте Интернета. Используйте поисковые службы, получившие положительный рейтинг Safe Web Norton, чтобы помочь себе и своей семье держаться подальше от вредоносных веб-сайтов."""


Специальное видео по этому инциденту "Flamer Blasts Its Way Round the Middle East"

Отдельный ролик: http://www.cbsnews.com/video/watch/?id=7400904n

[SDA]

Специальное видео по этому инциденту "Flamer Blasts Its Way Round the Middle East"

Отдельный ролик:

http://www.cbsnews.com/video/watch/?id=7400904n

Да, Symantec, как всегда достаточно полно и солидно подходит к освещению таких интересных проблем

[Энди-701]

Перевод новой статьи Symantec "Painting a Picture of W32.Flamer"

Рисуем картину W32.Flamer

Количество составляющих в W32.Flamer велико. Угроза имеет хорошо разработанную платформу, включая, веб-сервер, сервер баз данных и безопасной связи с оболочкой. Она включает в себя интерпретатор сценариев, который позволяет злоумышленникам легко развертывать обновленный функционал с помощью различных сценариев. Эти сценарии разделены на "приложения" и атакующие компоненты, похоже есть и нечто аналогичное "App Store", откуда они могут получить новые приложения, содержащие вредоносные функции.

Чтобы получить представление о том, как все эти компоненты сочетаются друг с другом, лучше всего начать с файла под названием mssecmgr.ocx — это главный файл W32.Flamer, который первым выполняется на зараженном компьютере. Файл mssecmgr.ocx содержит большое количество суб-компонентов. На рисунке ниже показана разбивка на компоненты и как они хранятся в этом файле:



Рисунок 1. Обзор компонентов W32.Flamer


Большинство суб-компонентов, включая различные сценарии, хранятся в зашифрованном виде, и встроены в отдельный компонент, в составе в mssecmgr.ocx. Он имеет таблицу, в начале которой перечислены различные записи и выступает в качестве индекса для извлечения данных. Подобный подход используется и в стандартной файловой системе. Кроме них в таблицу ресурсов включено несколько отдельных исполняемых и DLL-файлов. Вот лишь некоторые из них: advnetcfg.ocx, nteps32.ocx, boot32drv.sys, msglu32.ocx, soapr32.ocs, jimmy.dll, 00006411.dll...

За пределами этого раздела ресурсов существует код для создания HTTP-сервера, SOCKS прокси-сервер, SSH, SQL базы данных и интерпретатор Lua.

Lua — это легкий скриптовой язык, специально разработанный для встраивания в другие приложения. Его использование — самый простой способ расширить функциональные возможности приложения... Т.е. с помощью Lua злоумышленники облегчили себе задачу при разработке нового функционала или создания дополнений для W32.Flamer.

Когда msseccmgr.ocx выполнен, он использует несколько хитрых способов, чтобы встраивать себя в работающую систему, как показано на рисунке 2 ниже:



Рисунок 2. Начальное исполнение mssecmgr.ocx

Согласно указанному на рисунке 2 порядку извлечений в итоге в системный файл shell32.dll внедряется файл nteps32.ocx и запускается сценарий Lua для успешной работы собственных "приложений" mssecmgr.ocx. Кроме всего прочего создается специальное хранилище (несколько файлов баз данных) для хранения украденных данных и запускается ряд других "приложений".

Набор сценариев Lua можно разделить так, как показано на рисунке 3:




Рисунок 3. Скрипты Lua, используемые W32.Flamer

В нижней части рисунка 3 показана библиотека скриптов, в задачу которых входит предоставление доступа к базе данных или доступа к сети, а на топ-уровне находятся скрипты, выполняющие вредоносные действия.

Скрипты топ-уровня разбиты на группы. Вот лишь некоторых из них:

ATTACKOP - атакует другой ПК, используя один из описанных методов (см. перевод статьи "Flamer: Highly Sophisticated and Discreet Threat Targets Middle East");
CASafety - служит для обнаружения антивирусного ПО;
CRUISE - служит для кражи учетных данных;
Euphoria - эксплуатирует 0-day уязвимость в .LNK файлах.

Некоторые сценарии могут запускать дополнительные компоненты для выполнения иных целей. Например, скрипт ATTACKOP может вызвать файл soapr32.ocx, который определяет диапазон сети передачи данных на ПК и записывает его с помощью алгоритма RC4 в зашифрованный файл.

Скрипт ATTACKOP_JIMMY может использовать для выполнения своих функций файлы mssvc32.ocx, msglu32.ocx и jimmy.dll .

Выше мы привели лишь краткий обзор W32.Flamer. Нам предстоит ещё долгий анализ примерно 60-ти встроенных сценариев Lua, выстраивание по цепочке каждого из отдельных суб-компонентов, а затем и их общего принципа деятельности. В качестве аналогии предстоящей нам работы по изучению всего функционала W32.Flamer можно привести сравнение с архитектурным чертежом, но не отдельно взятого дома, а всех домов в городе в целом.

[Dale Northrop]

Да, Symantec, как всегда достаточно полно и солидно подходит к освещению таких интересных проблем

Да, без аналогов.

[Энди-701]

Перевод ещё одной статьи из блога Symantec "Flamer: A Recipe for Bluetoothache" с некоторыми изменениями и дополнениями.

Как уже говорилось в предыдущих наших сообщениях W32.Flamer использует в своей деятельности Bluetooth (возможно, что только в Windows). Это ещё одно доказательство того, что W32.Flamer — это новейший широкомасштабный инструмент для кибершпионажа.

Лаборатория CrySyS в своём отчёте уже рассказала о технических деталях использования Bluetooth в W32.Flamer.
Но, что значит это для будущих жертв Flamer? Что он может сделать с помощью Bluetooth?

Bluetooth-функционал Flamer'а закодирован в модуле "Beetlejuice" (Битлджус). Этот модуль запускается в зависимости от параметров конфигурации, установленных злоумышленниками. При его запуске выполняются два основных действия.

Во-первых, в используемом диапазоне будет произведён поиск всех устройств Bluetooth. Если устройство не найдено, то все его известные параметры будут записаны, чтобы осуществить подключение и атаку при его обнаружении.

Второе действие заключается в настройке себя в качестве Bluetooth-маяка. Это означает, что ПК, скомпрометированный W32.Flamer, появится в окружении устройств, когда любое другое Bluetooth-устройство просканирует район в поисках радиосигнала. И это не все. Включив свой Bluetooth-маяк, Flamer кодирует информацию о заражённом компьютере (см. рисунок 1), и сохраняет эти данные в специальном поле "description" (описание). В таком виде это "описание" и будет использоваться всеми включенными Bluetooth-устройствами в сформированном списке окружения:

Так Flamer и использует Bluetooth. А как злоумышленник может использовать этот функционал?

Для этого есть несколько возможных вариантов. Рассмотрим лишь несколько из них.

Сценарий № 1 - Определение социального окружения жертвы



При включенном Bluetooth-модуле в пределах используемого им диапазона на зараженном W32.Flamer'ом компьютере вскоре будет создан профиль различных устройств, которые будут обнаружены хотя бы в течение одного дня. Наибольший эффект будет достигнут, если заражённым компьютером будет ноутбук, который владелец будет носить с собой. Со временем, когда он будет общаться со своими друзьями и знакомыми, то в поле работы Bluetooth-маяка попадут и мобильные телефоны. Таким образом, злоумышленники могут построить карту взаимодействия владельца скомпрометированного Flamer'ом компьютера с разными людьми и выявить его социальное и профессиональное окружение.

Сценарий № 2 - Определение физического местонахождения жертвы


Главной целью злоумышленников может быть определение местонахождения владельца заражённого компьютера. Например, им может быть известно здание, но неизвестен реальный офис. При помощи скомпрометированного Flamer'ом компьютера и установленного на нём Bluetooth-маяка они могут определить его реальное местонахождение.

Bluetooth работает в радиочастотном диапазоне 2,4 ГГц. По силе радиосигнала злоумышленник может измерять на каком расстоянии он находится к конкретному устройству. Когда Bluetooth-маяк включен и сведения о конкретном зараженном мобильном устройстве записаны в поле описания, то злоумышленнику не составит труда определить физическое местонахождение зараженного Flamer'ом компьютера или иного устройства.

Альтернативой этому сценарию может стать желание злоумышленника определить мобильный телефон жертвы. Ведь, хоть Beetlejuice-модуль Flamer'а уже составил ID-список окружения всех устройств, которые были рядом с зараженным компьютером, но злоумышленник ещё не знает, какие устройства принадлежат жертве. Вполне вероятно, что одно из устройств представляет собой мобильный телефон, который жертва носит с собой. Теперь злоумышленник имеет возможность проследить за жертвой на расстоянии. Устройства Bluetooth-мониторинга могут быть размещены злоумышленниками в аэропортах, на вокзалах, в любом транспортном узле, где ещё проще отследить и идентифицировать другие устройства. В некоторых случаях по цепочке устройств в списке окружения можно определить Bluetooth-устройства в радиусе одной мили. Более зловещим аспектом этого пассивного прослушивания является возможность определения местонахождения жертвы, чтобы в будущем контролировать все его контакты и передвижения.

Сценарий № 3 - Расширение сбора информации


Как было описано в предыдущем блоге, значительная часть функционала Flamer'а заложена в скриптах Lua или "приложениях" из "App Store", что облегчает злоумышленникам возможность оперативного обновления возможностей своего детища. С расширением этого функционала злоумышленник только по списку Bluetooth-окружения может осуществлять многочисленные атаки:
- красть контакты из адресной книги, перехватывать пересылаемые SMS-сообщения, фотографии и многое другое;
- использовать мобильное устройство для прослушивания всех разговоров, особенно ведущихся на громкой связи, в том числе с использованием программ для телевидеоконференций;
- передавать добытые таким образом данные через соединение с любым соседним устройством;
- обходить файерволы и другие средства защиты, использую новые возможности Bluetooth-технологии на расстоянии одной мили;
- использовать свои собственные Bluetooth-устройства для осуществления атак и последующего заражения.

Вполне возможно, что пока вы читаете эти строки, уже где-то прямо сейчас реализуются и неизвестные нам возможности W32.Flamer.
Описанные здесь теоретические атаки могут легко реализовать на практике квалифицированные и технически подготовленные злоумышленники.

PS. Сегодня будет ещё одна статья, посвящённая механизму распространения W32.Flamer с использованием уязвимостей в системе.

[Энди-701]

Перевод ещё одной статьи из блога Symantec "W32.Flamer: Spreading Mechanism Tricks and Exploits"

Как вы уже знаете, Flamer может передаваться от одного компьютера к другому. Тем не менее, хоть автоматически он и не распространяется, но зато может и не дожидаясь инструкций от злоумышленников, распространяться с помощью следующих методов:

- через сеть, используя полученные полномочия, в том числе администратора домена;
- через удаленное выполнения кода, используя уязвимость в службе диспетчера очереди печати ОС Windows (CVE-2010-2729), которую ранее использовал Stuxnet;
- через съёмные носители с помощью специально созданного файла autorun.inf, ранее использовавшегося Stuxnet;
- через съёмные носители с помощью специального каталога, который скрывает файлы и может привести к автозапуску просмотра USB-диска в сочетании с эксплуатацией 0-day уязвимости в .LNK и .PIF файлах (CVE-2010-2568), которая ранее использовалась Stuxnet;

Всё это нам было известно и ранее, но следующий метод мы раньше не видели, и потому очень интересно было узнать, как Flamer использует точки соединения для сокрытия и автозапуска своих файлов.

Точки соединения — это особенность Windows, которая позволяет перенаправлять трансляцию имени файла или каталога из одного каталога в другой. Например, если путь C: \Drivers — это ссылка, которая перенаправляет в C: \Windows\System32\Drivers, то приложение, читающее C: \Drivers\Ntfs.sys, на самом деле читает C: \Windows\System\Drivers\Ntfs.sys. Это удобное средство "подъема" каталогов, расположенных слишком глубоко в дереве каталогов, на более высокий уровень, не нарушая исходной структуры или содержимого дерева каталогов. Так, в нашем примере каталог драйверов "поднят" на два уровня по сравнению с реальным.

Flamer создает обычный каталог (т.е. обычную папку, директорию) на съёмном диске, используя разные имена. В нашем примере это будет папка MyDocs. В этот каталог Flamer добавляет три файла:
- сам Flamer (например, файл mssecmgr.ocx)
- desktop.ini
- target.lnk


Desktop.ini представляет собой специальный файл конфигурации, признаваемый ОС Windows, и позволяет пользователю настроить свои свойства и поведение в каталоге. Flamer добавляет ShellClassInfo в раздел файла конфигурации desktop.ini, заставляя его вести себя как точка соединения. Как правило, точки соединения могут перенаправлять трансляцию имени в другой каталог. Таким образом ничего не подозревающий пользователь попытается открыть такой каталог, но запустит исполняемый файл с псевдоименем.

Flamer использует некоторые специальные приемы, чтобы обойти эту проблему. Три CLSID записи добавляются в раздел ShellClassInfo со специально выбранным CLSID. Этот CLSID вызовает каталог "MyDocs" для открытия, но вместо этого пройдёт перенаправление в другую директорию с псевдоименем, определённым в файле с именем target.lnk, который находится в каталоге.



Теперь, если пользователь попытается открыть папку "MyDocs" с помощью Проводника, у него ничего не получится. Вместо этого, пользователь перейдет в каталог, определенный в target.lnk. Это означает, что пользователь не сможет просмотреть файлы внутри "MyDocs", такие как target.lnk и Desktop.ini. Заметьте, что пользователь не сможет увидеть или получить доступ и к самому Flamer'у (mssecmgr.ocx). Сам Flamer надёжно скрыт внутри точки соединения, т.к. эксплуатирует известную уязвимость в .LNK и .PIF файлах Microsoft Windows (CVE-2010-2568).

С помощью специально созданного файла target.lnk, используя уязвимость в .LNK файлах, Flamer сможет запускаться автоматически, подвергая риску компьютер и подключаемые к нему накопители. Ведь, как только съёмный диск подключается к заражённому ПК, Windows автоматически создаёт файл target.lnk. Этот файл обрабатывается системой, а затем, через уязвимость в .LNK файлах, автоматически запускает CPlApplet для экспорта Flamer'а (mssecmgr.ocx). Остаётся только подключить накопитель к другому компьютеру, чтобы Flamer автоматом передался на него.



Итак, запоминаем:
1. При открытии подключенного съёмного диска пользователь увидит папку, но не видит, что внутри неё;
2. ОС Windows автоматически открывает папку и автоматически обрабатывает файлы внутри неё;
3. Передача Flamer'а осуществляется посредством эксплуатации системной уязвимости в .LNK файлах.

Заметьте, что Flamer будет использовать не имя папки из нашего примера, а имена папок, которые начинаются с ".MSBTS" или "~WRM3F0". Имя файла для самого Flamer'а также может быть другим в разных образцах. В наших это были LSS.OCX, SYSTEM32.DAT или NTVOLUME.DAT.

Интересно то, что Flamer состоит из двух механизмов, один использует уязвимость в .LNK файлах с точкой соединения, а другой использует autorun.inf.

Заметьте, что Stuxnet тоже использовал способ с файлом autorun.inf и уязвимость в .LNK файлах. Но, если вспомнить, то раньше мы определили, что более ранние версии Stuxnet использовали только autorun.inf, и только, когда он получил обновление, то стал использовать уязвимость в .LNK файлах.

Мы ещё не нашли варианты Flamer, которые используют исключительно autorun.inf, но мы не удивимся, если в будущем Flamer станет использовать файл autorun.inf на тех компьютерах, где уязвимость в .LNK файлах исправлена.

Сам Flamer необычайно большой и мы подозреваем, что скоро найдём более интересные трюки и новые методы, т.к. мы продолжаем его анализировать.

PS от Энди-701. В оригинальном тексте оказалось довольно много повторов, да и картинки неимоверно большие. За редким исключением я оставил изложение материала таким, каким оно было в оригинале. Видимо, авторы хотели, чтобы читатели как "Отче наш" запомнили способы проникновения Flamer на компьютер и съёмные накопители, и своим незнанием не способствовали распространению этой угрозе. Запомните сами, распечатайте и постарайтесь ознакомить своих родных и близких с этим материалом. Тогда и мой скромный труд не будет напрасным.

[Энди-701]

Устоявшиеся на данный момент названия данного вредоноса:

W32.Flamer, W32.Flamer!gen (Symantec)

Worm/Win32.Flame (AhnLab)
TR/Flamer.A. (AntiVir)
Win32: Skywiper-D (A,B,C,D,E,F) (Avast)
Worm/Pakes.ATI (AVG)
TR/Flame.B (Avira)
Trojan.Flame.A (Bitdefender)
Worm.Flame (ClamAV)
W32/FLamer.A (Command)
Worm.Win32.Flame.a (Comodo)
Win32.HLLW.Flame.1 (Dr.Web)
Worm.Win32.Flame!IK (Emsisoft)
Win32/Flamer.A worm (ESET)
W32/Flame.A (Fortinet)
W32/Flamer.A (F-PROT)
Trojan.Flame.A (F-Secure)
Trojan.Flame.A (G-Data)
Worm.Win32.Flame (Ikarus)
EmailWorm (K7AntiVirus)
Worm.Win32.Flame.a (Kaspersky)
SkyWiper (McAfee)
Worm:Win32/Flame!dat, Worm:Win32/Flame.gen!B (Microsoft)
W32/Flamer.A (Norman)
Worm/W32.Flame.643072 (nProtect)
Malware.Flamer (PCTools)
W32/Flame-A, W32/Flame-Gen (Sophos)
WORM_FLAMER.A (TrendMicro)
Worm.Win32.Flame.a (VIPRE)
Trojan.Flame.A (VirusBuster)
Worm.Win32.Flame.64307 (ViRobot)

[Энди-701]

Symantec нашла нужным также известить своих пользователей и клиентов о том, что компоненты Flamer были подписаны цифровыми сертификатами Microsoft.

W32.Flamer: Leveraging Microsoft Digital Certificates (Использование цифровых сертификатов Microsoft)

Microsoft выпустила Security Advisory (Уведомление безопасности) 2718704 на угрозу W32.Flamer. Как оказалось, во Flamer для подписи компонентов использовались цифровые сертификаты Microsoft. Таким образом злоумышленники смогли затруднить обнаружение антивирусными продуктами.

Microsoft Terminal Services (или Remote Desktop Protocol) позволяет удалённо получить доступ к полноценному управлению компьютером, установленными на нем программами и управлению Рабочим столом. Terminal Server Licensing Service позволяет клиентам авторизовывать сервисы Remote Desktop на предприятиях, благодаря чему они могут сами создавать сертификаты, так, как бы это делала Microsoft.

Для того, чтобы использовать сервер лицензирования служб терминалов, его необходимо сначала активировать, связавшись с Microsoft. В процессе активации Microsoft выдает серверу лицензирования служб терминалов цифровой сертификат X.509, подтверждающий его принадлежность и подлинность. Используя этот сертификат, сервер лицензий может осуществлять последующие транзакции с базой данных Microsoft Clearinghouse и принимать постоянные клиентские лицензии для сервера терминалов. Взломав определенный алгоритм шифрования в системах Microsoft, применяемых для выпуска лицензий, атакующие смогли создать поддельные промежуточные сертификаты, которые содержали в себе корневой сертификат Microsoft.

В рамках обновления, Microsoft закрыла три промежуточных центра сертификации, привязанных к корневому центру. Все версии Windows, где не используется новый патч, могут быть заражены Flamer через вышеописанный механизм.



И перевод новой статьи из блога Symantec "W32.Flamer: Microsoft Windows Update Man-in-the-Middle" (Человек-в-середине для подмены Windows Update), объясняющей каким образом Flamer использует цифровые сертификаты Microsoft.

""" У Flamer есть немало способов распространения по локальной сети. Одним из методов является захват клиентов, выполняющих Windows Update. В доставке фальшивых обновлений участвуют три приложения Flamer'а: SNACK, MUNCH и GADGET.

Когда Internet Explorer запускается по умолчанию, то он автоматически ищет настройки конфигурации прокси-сервера. Это происходит через Web Proxy Auto-Discovery Protocol (WPAD). Internet Explorer будет пытаться автоматически получить настройки прокси (wpad.dat), основанные на доменном имени компьютера. Автоматическая конфигурация браузера для использование прокси реализуется при помощи PAC-файле (Proxy Auto Configuration), в котором содержится только одна функция JavaScript - FindProxyForURL ().

Например, если компьютер находится в computerA.group.company.com, то Internet Explorer будет запрашивать wpad.dat от wpad.group.company.com и wpad.company.com, чтобы зайти на сервер DNS. Если нет зарегистрированной DNS-записи, то Internet Explorer будет использовать WINS или NetBIOS для разрешения имен.

NetBIOS (Network Bios) позволяет компьютерам находить друг друга в локальной сети без централизованного управления (соединение типа клиентом/сервер). Каждый компьютер для идентификациии просто передает свое имя. Эта опция небезопасна тем, что позволяет производить сетевые атаки.

SNACK выполняет целый ряд функций, в том числе прослушивает запросы NetBIOS по локальной сети. Когда клиент пытается разрешить имя компьютера в сети и посылает WPAD-запросы, Flamer поставляет ему фейковый WPAD-файл (wpad.dat).

Благодаря фейковому файлу wpad.dat Flamer устаналивает на компьютер свой прокси-сервер и весь трафик клиента после этого проходит через заражённый компьютер.

MUNCH является веб-сервером Flamer и получает перенаправленный трафик, а также проверяет отправляемые запросы, в том числе на Windows Update.
GADGET "работает" загрузчиком, загружая основные компоненты Flamer.

Чтобы обновления от Windows Update были установлены, они должны быть подписаны Microsoft. Но благодаря полученному цифровому сертификату Flamer обходит это ограничение. Его файлы загружаются на компьютер и устанавливают как обычные подписанные обновления Windows. Один полученный образец носит имя TumblerEXE.exe.

До загрузки Tumbler выполняет проверку сетевых интерфейсов и получает информацию о системе, в том числе об установленных продуктах безопасности. Затем связывается с Flamer через HTTP с URL по следующей форме:

[http://]MSHOME-<STRING>/view.php?mp=1&jz=<STRING>&fd=<STRING>&am=<STRING>& ef=<STRING>&pr=<STRING>&ec=<STRING>&ov=<STRING>&dd =<STRING>

Получив необходимые сведения и ответ Tumbler сохраняет файл ~ZFF042.tmp в % WINDIR%\Temp\ и запускает его на выполнение (имя может различаться в разных образцах). Такимобразом на компьютер устаналивается сам Flamer.


1. Клиенты делают WPAD-запросы через NetBIOS.
2. Flamer поставляет подделанный WPAD-файл клиентам.
3. Клиенты посылают запросы на Windows Update, которые перенаправляются на Flamer.
4. Flamer поставляет им вместо обновления подписанный цифровым сертификатом Tumbler.
5. Tumbler загружается на компьютер и устанавливает Flamer. """

PS. Довольно старый приём, использующий неисправленную уязвимость в Windows, теперь уже с цифровыми сертификатами.

[Энди-701]

Как сообщалось ранее, большой размер Flamer позволяет ему скрывать внутри себя немало встроенных модулей. Но одно дело, сказать, а другое — показать и рассказать. И потому, пока одни красят и покрывают лаком своих красных поросят, другие работают днём и ночью. И вот, как плод этого труда, на свет появляется новая информация о новых информационных угрозах.

Прошлой ночью неустанные сотрудники Symantec Security Response в своём официальном блоге решили поделиться с нами новой информацией о том, что именно хранится в недрах Flamer, кроме атакующего функционала...

Перевод новой статьи: W32.Flamer: Enormous Data Collection (Огромная коллекция данных)

""" Во встроенных модулях W32.Flamer хранится огромное количество информации, собранной с зараженных компьютеров. Эти модули, называемые "приложения", загружаются и обновляются со стороны "App Store", как было описано ранее. Flamer может сначала собирать предварительную информацию и только на основе этой информации делать своё темное дело. Например, он умеет самостоятельно извлекать метаданные из собранных документов и передавать сначала их злоумышленникам, и если они заинтересуются ими, то могут затем дать команду на передачу всего документа.

Именно благодаря большому количеству встроенных элементов Flamer и имеет возможность сбора и передачи своим владельцам этих документов целиком, что само по себе является непростой задачей. Это лишний рах доказывает то, что Flamer не является типичным похитителем информации (infostealer), из тех, что ранее были замечены в целевых атаках, которых ещё часто называют Advanced persistent threat (APTs), или которые можно было бы видеть в финансово-мотивированных угрозах (банковские трояны).

Широта функционала и размеры разительно отличают его от них. Потому называть его "промышленным пылесосом", как это делают порой..., будет неправильно.

Ниже мы представляем вам в удобной форме несколько информативных групп, из всего имеющегося во Flamer, что нам удалось на данный момент собрать, чтобы дать вам ощущение того, насколько же инвазивен этот Flamer. """

[SDA]

На АМ: _http://www.anti-malware.ru/forum/index.php?showtopic=22854&pid=156612&st=120&#entry 156612



личность типа гостева, совершенно любой комментарий которого в сми можно пересказать как

ехал гостев через гостев
видит гостев - гостев гостев !

[Энди-701]

Да, его много пересказывают, но и он сам любит "покормить" СМИ очередными байками, потом они своей компашкой ещё и посмеются над этими попугайскими пересказами.

Вряд ли кто-то в Symantec будет заниматься пересказом миниэпосов Александра, даже если бы он каждый день выдавал порциями эти "сказочки".

Но в наших "Сообщениях Symantec о W32.Flamer" нет ни слова из его интервью и не будет. Маленькое упоминание о ЛК в головном посте ни в счёт.

Конечно, многие сообщения ЛК о Flamer могут содержать весьма полезный материал, но мы не будем его использовать в этом разделе, как бы им не хотелось.

[Энди-701]

Продолжаем знакомить участников Клуба и наших читателей с сообщениями о W32.Flamer из блога Symantec.

Flamer: Urgent Suicide (Приказ на Самоуничтожение)


""" В конце прошлой недели с нескольких C&C-серверов Flamer'а на некоторые зараженные компьютеры были посланы специальные команды. Они были запрограммированы так, чтобы полностью удалить Flamer с зараженных компьютеров. После этого несколькими C&C-серверами было произведено нечто вроде рекогносцировки и реконфигурации, в результате чего сохранённые доменные имена были переведены к другому хостинг-провайдеру.

Скомпрометированные Flamer'ом компьютеры имеют специально сконфигурированные серверные элементы управления, служащие для регулярного получения дополнительных команд с контрольно-командных серверов. На этот раз в ответ на очередной запрос C&C-сервера отправили им файл browse32.ocx. Этот файл инициирует модуль, отвечающий за удаление Flamer с зараженных компьютеров. Можно было бы также назвать его "удалителем" (деинсталлятором, uninstaller).

Модуль browse32.ocx состоит из двух компонентов:
EnableBrowser - это инициализатор, который устанавливается на окружающую среду (мьютекс, событие, разделяемую память и т.д.)... до принятия действий.
StartBrowse - это часть кода, которая фактически удаляет компоненты Flamer.

В browse32.ocx содержится длинный список файлов и папок, которые используются Flamer. Этот компонент содержит подпрограмму для генерации случайных символов для использования в перезаписи операции. Проще говоря, он находит все файлы на диске, удаляет их, а затем забивает диск случайными символами, чтобы стереть информацию о заражении. Теперь мы знаем, что Flamer старается не оставлять после себя следов инфекции.

Ниже можете видеть список файлов и папок, ставших мишенью этого модуля.

Удаляемые папки:

%ProgramFiles%\Common Files\Microsoft Shared\MSAudio
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix


Удаляемые файлы:

%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audcache
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audfilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlogh.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m3aaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m3afilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m3asound.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m4aaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m4afilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m4asound.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m5aaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m5afilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m5asound.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mlcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaud.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\qpgaaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\srcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wavesup3.drv
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\authcfg.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ctrllist.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\lmcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ntcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\posttab.bin
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\secindex.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\tokencpt
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dmmsap.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm2.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm3.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dommt.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\Lncache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ltcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscorest.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrol.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mspovst.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrovst.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrsysv.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msvolrst.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\nt2cache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rdcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rmcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache3.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\audtable.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\fmpidx.bin
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lmcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lrlogic
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixercfg.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixerdef.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\ntcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\sndmix.drv
%SystemDrive%\system32\msglu32.ocx
%SystemDrive%\Temp\~8C5FF6C.tmp
%Temp%\~*
%Temp%\~a28.tmp
%Temp%\~a38.tmp
%Temp%\~DF05AC8.tmp
%Temp%\~DFD85D3.tmp
%Temp%\~DFL542.tmp
%Temp%\~DFL543.tmp
%Temp%\~DFL544.tmp
%Temp%\~DFL545.tmp
%Temp%\~DFL546.tmp
%Temp%\~dra51.tmp
%Temp%\~dra52.tmp
%Temp%\~dra53.tmp
%Temp%\~dra61.tmp
%Temp%\~dra73.tmp
%Temp%\~fghz.tmp
%Temp%\~HLV084.tmp
%Temp%\~HLV294.tmp
%Temp%\~HLV473.tmp
%Temp%\~HLV751.tmp
%Temp%\~HLV927.tmp
%Temp%\~KWI988.tmp
%Temp%\~KWI989.tmp
%Temp%\~mso2a0.tmp
%Temp%\~mso2a1.tmp
%Temp%\~mso2a2.tmp
%Temp%\~rei524.tmp
%Temp%\~rei525.tmp
%Temp%\~rf288.tmp
%Temp%\~rft374.tmp
%Temp%\~TFL848.tmp
%Temp%\~TFL849.tmp
%Temp%\~ZFF042.tmp
%Temp%\comspol32.ocx
%Temp%\GRb9M2.bat
%Temp%\indsvc32.ocx
%Temp%\scaud32.exe
%Temp%\scsec32.exe
%Temp%\sdclt32.exe
%Temp%\sstab.dat
%Temp%\sstab15.dat
%Temp%\winrt32.dll
%Temp%\winrt32.ocx
%Temp%\wpab32.bat
%Temp%\wpab32.bat
%Windir%\Ef_trace.log
%Windir%\Prefetch\Layout.ini
%Windir%\Prefetch\NTOSBOOT-B00DFAAD.pf
%Windir%\repair\default
%Windir%\repair\sam
%Windir%\repair\security
%Windir%\repair\software
%Windir%\repair\system
%Windir%\system32\advnetcfg.ocx
%Windir%\system32\advpck.dat
%Windir%\system32\aud*
%Windir%\system32\authpack.ocx
%Windir%\system32\boot32drv.sys
%Windir%\system32\ccalc32.sys
%Windir%\system32\commgr32.dll
%Windir%\system32\comspol32.dll
%Windir%\system32\comspol32.ocx
%Windir%\system32\config\default.sav
%Windir%\system32\config\sam.sav
%Windir%\system32\config\security.sav
%Windir%\system32\config\software.sav
%Windir%\system32\config\system.sav
%Windir%\system32\config\userdiff.sav
%Windir%\system32\ctrllist.dat
%Windir%\system32\indsvc32.dll
%Windir%\system32\indsvc32.ocx
%Windir%\system32\lrl*
%Windir%\system32\modevga.com
%Windir%\system32\mssecmgr.ocx
%Windir%\system32\mssui.drv
%Windir%\system32\mssvc32.ocx
%Windir%\system32\ntaps.dat
%Windir%\system32\nteps32.ocx
%Windir%\system32\pcldrvx.ocx
%Windir%\system32\rpcnc.dat
%Windir%\system32\scaud32.exe
%Windir%\system32\sdclt32.exe
%Windir%\system32\soapr32.ocx
%Windir%\system32\ssi*
%Windir%\system32\sstab.dat
%Windir%\system32\sstab0.dat
%Windir%\system32\sstab1.dat
%Windir%\system32\sstab10.dat
%Windir%\system32\sstab11.dat
%Windir%\system32\sstab12.dat
%Windir%\system32\sstab2.dat
%Windir%\system32\sstab3.dat
%Windir%\system32\sstab4.dat
%Windir%\system32\sstab5.dat
%Windir%\system32\sstab6.dat
%Windir%\system32\sstab7.dat
%Windir%\system32\sstab8.dat
%Windir%\system32\sstab9.dat
%Windir%\system32\tok*
%Windir%\system32\watchxb.sys
%Windir%\system32\winconf32.ocx

Ясно, почему этот компонент доселе оставался незаметным, хоть и был обнаружен. Ведь, у любого клиента, получившего этот файл от контрольно-командного сервера, все следы Flamer будут надёжно стёрты, в том числе и сам модуль-удалитель.

Версии этого модуля, что мы обнаружили, датированы 9 мая 2012 года, т.е. созданы всего за несколько недель до того, как информация о Flamer стала достоянием общественности. Возможно, что предыдущие версии этого модуля уже использовались в прошлом...

Наличие этого модуля интересно само по себе. В ранее проанализированном коде Flamer'а мы находили компонент с элементами самоуничтожения, который функционально похож на browse32.ocx. Неизвестно, почему авторы других вредоносных программ не берут на вооружение функционал самоуничтожения, как у Flamer'а... """

[Энди-701]

Недавнее открытие W32.Flamer раскрывает сложную и целевую угрозу, в первую очередь ориентированную на несколько сотен организаций и частных лиц, находящихся на Ближнем Востоке.



На основе последних анализов Symantec можно заключить, что Flamer действует как универсальный шпион, идеально подходя для кибер-шпионажа и кражи всех видов информации со взломанных машин.

Для того, чтобы пролить свет на эту угрозу, читайте последний Symantec Intelligence Report - информативный отчёт о всех угрозах, которые мы знаем на данный момент.




Эта инфограмма от Symantec наглядно демонстрирует быстрое сравнение трёх известных угроз.

Связан ли Flamer c Stuxnet и Duqu?

Видимо, нет. Тем не менее, у Flamer c Stuxnet и Duqu несомненно есть определенные общие факторы.
Например, все эти угрозы вспыхнули на Ближнем Востоке, в Иране, в частности. Кроме того, все они, по-видимому, имеют под собой политическую мотивировацию. Однако, если код основного модуля Duqu аналогичен коду основного модуля Stuxnet, то Flamer мог быть написан совершенно другой командой программистов.

Скачать "Symantec Intelligence Report: May 2012" в виде PDF-документа можно по ссылке:
http://www.symanteccloud.com/en/us/m...INAL-en_us.pdf

[Энди-701]

Перевод статьи сотрудника Symantec "Flame Malware exploits Microsoft's digital certificate" (Flamer использует цифровые сертификаты от Microsoft)

На этот раз с примерами и иллюстрациями.

""" Установлено, что Flamer использует цифровой cертификат Microsoft, чтобы заразить свою цель. Для этого он начинает атаку, получившую название "человек-в-середине"!

Когда машина пытается подключиться к Microsoft Windows Update, он перенаправляет соединение через зараженный компьютер и отправляет клиенту поддельные вредоносные обновления Windows.

В процессе заражения клиента используется восемь CAB-файлов. В одном из них содержится специально подготовленная программа WuSetupV.exe:



Эта программа размером в 28 Кб подписана поддельным сертификатом Microsoft:



Это позволяет ей работать на машине жертвы без каких-либо препятствий.

Гаджет-загрузчик для Flamer был собран 27 декабря, подписан 28 декабря 2010 года, а упакован в CAB-архив 11 января 2011.



Вот как именно происходит процесс: зараженная машина создает поддельный сервер под названием "MSHOME-F3BE293C", на котором находится скрипт, доставляющий Flamer на компьютер. Это делается с помощью модуля по названию "Munch". Когда жертва пытается получить обновления через Windows Update, то запросы перехватываются и вместо них отправляются поддельные обновления. После их загрузки и установки компьютер будет заражён.



Важная информация:
4 июня 2012 г. Microsoft выпустила ряд обновлениий для Windows, которые блокирует три мошеннических сертификата, используемых в Flamer'ом.
Microsoft Security Advisory 2718704: http://technet.microsoft.com/en-us/s...visory/2718704 """

Информация из CrySyS Blog
http://blog.crysys.hu/2012/06/the-fl...ificate-chain/

[Энди-701]

Внес главное исправление в головной пост темы.

Нашел то первое сообщение, которое было озвучено в некоторых русскоязычных веб-СМИ как "комментарий специалиста Symantec".

Т.е. российские веб-СМИ умышленно поставили сообщение ЛК впереди сообщения Symantec.

Более того, кроме серии публикаций Symantec, перевод которых можно видеть выше, выпустили месячный отчет перед веб-сообществом (см. выше), а ЛК до сих пор занимается пиаром собственного "превосходства" и собственного "я" на фоне новой угрозы.

[Энди-701]

4 июня 2012 г. Microsoft выпустила ряд обновлениий для Windows, которые блокирует три мошеннических сертификата, используемых в Flamer'ом.

Теперь и на русском >>>

Советы по безопасности (Microsoft) (2718704)
Несанкционированные цифровые сертификаты делают возможным подмену содержимого
Дата публикации: 3 июня 2012 г. | Дата обновления: 13 июня 2012 г.

Аннотация. Корпорации Майкрософт известно об активных атаках с использованием несанкционированных цифровых сертификатов, выпущенных в Центре сертификации Microsoft. Несанкционированные сертификаты могут использоваться для подмены содержимого, фишинговых атак или атак типа "злоумышленник в середине". Этой уязвимости подвержены все поддерживаемые выпуски Microsoft Windows.

Корпорация Майкрософт предоставляет обновление для всех поддерживаемых выпусков Microsoft Windows. Это обновление отзывает следующие промежуточные сертификаты CA:
Microsoft Enforced Licensing Intermediate PCA (2 сертификата)
Microsoft Enforced Licensing Registration Authority CA (SHA1)

Рекомендация. Корпорация Майкрософт рекомендует пользователям всех поддерживаемых выпусков Microsoft Windows немедленно применить обновление с помощью программного обеспечения для управления обновлениями или проверить наличие обновлений с помощью службы Центра обновления Майкрософт. Дополнительные сведения см. в разделе Рекомендуемые действия этого выпуска советов по безопасности.

Ссылка на источник: http://technet.microsoft.com/ru-ru/s...visory/2718704

Загрузить обновление для своей ОС можно с этой страницы:
http://support.microsoft.com/kb/2718704

Требуется проверка подлинности Windows!

[Энди-701]

Загрузить обновление для своей ОС можно с этой страницы:
http://support.microsoft.com/kb/2718704
Требуется проверка подлинности Windows!

Архив с обновлениями прилагаю:
Обновление для Windows XP для систем на базе процессоров x86 (KB2718704)
Обновление для Windows 7 для систем на базе процессоров x86 (KB2718704)
Обновление для Windows 7 для систем на базе процессоров x64 (KB2718704)

[Энди-701]

Collateral Damage (Побочный ущерб)

"""Это ещё не конец. Это даже не начало конца. Но, возможно, это конец начала.



Это известная фраза Уинстона Черчилля приведена неспроста, т.к. в свете последних событий она кажется вполне уместной. Несмотря на первоначальный ажиотаж, Flamer не означает конец света для нас. Flamer фактически означает конец начала.

Это конец игнорирования риска кражи вредоносным ПО вашей информации. Надеюсь, что вы в курсе того, как Flamer крадет информацию. Но это, конечно, не первая вредоносная программа, предназначенная для кражи информации. Их тысячи. Flamer вряд ли может быть направлен лично на вас. Но одна из тех, остальных программ, вероятно, да.

Это конец антивирусов, которые не обеспечивают комплексной безопасности. Так, что AV умрут? Нет, это просто не полное решение по обеспечению безопасности. Представьте, что вы идете в магазин электроники, где продаются смартфоны, и говорите, что вы хотите иметь возможность получать текстовые сообщения. Антивирус является частью комплексного решения. Не кажется ли странным, чтобы кто-то еще использует пейджер? Я чувствую то же самое, когда вижу, что кто-то еще использует только AV для своей защиты.

Это конец того, чтобы быть способным сказать, что это действительно не влияет на меня. Если кибер-атаки становятся продолжением войны то, очевидно, это повлияет на всех нас. Но даже, если все останется на уровне кибер-саботажа и кибер-шпионажа эти угрозы могут повлиять на всех нас. Назовём это законом непреднамеренных последствий. А может, просто побочным ущербом.

Авторы Stuxnet знали, что они имеют только один шанс поразить свои цели. Он должен быть очень хорошо протестирован прежде, чем запущен в действие. Угроза относительно безвредна, когда он на машине, которая не контролирует цилиндры по обогащению урана. Тем не менее, несмотря на множество функций, которые работали, чтобы предотвратить широкое распространение Stuxnet, были все же заражены тысячи компьютеров. Авторы Flamer успешно потрудились над ограничением распространение вредоносных программ. Но несмотря на все разработки и планирования, потраченные на угрозу, имевшую неограниченный встроенный функционал, как только вредоносная программа была обнаружена, авторы не смогли задействовать все возможности для удаления присутствия.

Что будет, когда авторы других вредоносных программ, с ограниченными ресурсами для планирования и тестирования, или менее озабоченные всеми последствия их создания, попытаются сделать свои вредоносы такими же сложным, как Stuxnet и Flamer? На прошлой неделе мы видели прекрасный пример такого риска.

Мы писали о W32.Printlove на прошлой неделе. Это не целевые атаки и его цель состоит не в кибер-шпионаже. И ни в коей мере он не достигает того уровня сложности, который достигнут во Flamer и Stuxnet. Но это тоже сложная и амбициозная угроза. Она на шаг выше большинства сегодняшних вредоносных программ, чьи функции не выходит далеко за пределы копирования чего-то с вашего компьютера или использования флеш-анимации для доставки вирусов. Большинство угроз не так амбициозны. Но Trojan.Milicenso именно такой. И эта сложность и амбициозность поставляется с непредвиденными последствиями.

Milicenso помещает двоичные файлы в каталог очереди печати в системе Windows. Если вы когда-нибудь ошибочно печатали двоичный файл, то знаете, что произойдет дальше. Он будет печать бесконечный поток символов, пока в лотке есть бумага. Trojan.Milicenso способен делать это только в некоторых системах Windows. Несомненно, его создатели не проделали весь комплекс испытаний, чтобы расширить спектр его действий.

Вы можете возразить, что эта вредоносная программа способна "убить несколько деревьев". Но факт в том, что пока мы не можем быть целью для атаки, хотя это не значит, мы не будем так или иначе страдать от её последствий. Ведь в следующий раз это может быть не только бумага."""

PS. Не забывайте при копировании материала указывать ссылку на форум и автора перевода - Энди-701.

[SDA]

Это конец антивирусов, которые не обеспечивают комплексной безопасности. Так, что AV умрут? Нет, это просто не полное решение по обеспечению безопасности.

Это не открытие, но раньше,как то не принято было озвучивать. Никогда антивирусы не обеспечивали комплексную безопасность.

[Энди-701]

Нам то это известно давно. Но признаваться в этом аверам ой как не хочется
.
Потому до сих пор многие эти антивирусы ПРОДАЮТ и дальше хотят продавать.

Выход как бы на поверхности — отдавать бесплатно, но тогда ведь половина рынка будет потеряна.
А какой авер откажется от такого куша? Никакой.

Разве только тот, который на продаже сертификатов и прочих электронных бумаг имеет гораздо больше, потому и раздаёт свои поделки направо и налево. Да, это Comodo, единственный и неповторимый.

[SDA]

Разве только тот, который на продаже сертификатов и прочих электронных бумаг имеет гораздо больше, потому и раздаёт свои поделки направо и налево. Да, это Comodo, единственный и неповторимый.

Гомодо, такой Гомодо, любимый школотой, с умным видом рассуждающие о супепер-пупер хипсе Гомодо

[military]

супепер-пупер хипсе Гомодо

это не так?

[SDA]

это не так?

Если верить тестам Matousec то да
И конечно же - Исправлено: Пресечены различные попытки обхода проактивной защиты Защита+, используемые вредоносным ПО. А сколько не пресечено?
(Comodo Internet Security 2012)

[Энди-701]

A.S. К сожалению я немного упустил из внимания новые сообщения Symantec о Flamer, за их долговременным отсутствием, и вот сегодня ночью обнаружил короткую запись в ленте новостей о дополнении к сообщению от 17 сентября. Теперь, исправляя свой недосмотр, привожу их оба друг за другом.
-------------------------------------------------------------
Перевод с английского сделан Энди-701 специально для КЛС.
--------------------------------------------------------------

Newsforyou и анализ работы C&C серверов Flamer

Специалисты Symantec провели анализ работы двух C&C-серверов, замеченных в начале года в атаках с использованием W32.Flamer.

"""Серверы, взятые под наше наблюдение, были запущены 25 марта 2012 года и 18 мая 2012 года, соответственно. Каждый из них контролировал как миниумум несколько сотен заражённых компьютеров.

Проанализированные данные с серверов рассказали нам о том, что, хотя в них использовались одинаковые схемы контроля, служили они для разных целей. С сервера, запущенного в марте 2012 года, получены доказательства того, что им всего за неделю было собрано почти 6 Гб данных с скомпроментированных компьютеров. А сервер, запущенный в мае, получил всего 75 МБ данных и использовался только для отправки на скомпроментированные Flamer'ом компьютеры всего лишь одного командного модуля, предназначеного для заметания следов.

Удаленное управление происходит через веб-приложение под названием Newsforyou. Оно обрабатывает взаимодействие W32.Flamer-клиента и обеспечивает простую панель для удаленного управления, которая позволяет злоумышленникам загружать со взломанных компьютеров пакеты информационного кода, содержащего украденные данные клиентов. Это приложение не заточено конкретно под Flamer. Его функционал позволяет злоумышленникам использовать его с другими вредоносными программами с использованием разных протоколов. Ниже приведена таблица, показывающая соотношение между различными идентификаторами вредоносных программ и поддерживаемыми протоколами:



Как видно из таблицы, несколько неизвестных угроз поддерживают эти рамки до сих пор. Это, скорее всего, неизвестные варианты Flamer или даже другие вредоносные программы.

Серверы были запрограммированы для записи минимального количества информации в случае своего обнаружения. Системы были настроены так, чтобы отключать регистрацию ненужных событий и регулярно удалять записи о работе из журнала событий и базы данных. Эти шаги были предусмотрены для того, чтобы затруднить расследование работы сервера, если он будет обнаружен (приобретен) третьими лицами.

Несмотря на такую тщательность, всех мер команде создателей Flamer'а предусмотреть не удалось, т.к. в ходе дальнейшего расследования была обнаружена вся история установки сервера. Кроме того, анализ небольшого количества зашифрованных записей в базе данных показал, что компьютеры создателей Flamer'а находидись на Ближнем Востоке. Мы также смогли восстановить ники четырех его авторов - D***, H*****, O****** и R***, которые работали над кодом Flamer на различных этапах и в различных аспектах проекта. Т.е. основной его код мог быть написан еще в 2006 году.



Из таблицы выше видно четкое разделение ролей участников проекта:
- лица, ответственные за настройку сервера (администраторы);
- лица, ответственные за загрузку пакета и загрузки украденных данных с помощью панели управления (операторы);
- и те, кто занимался расшифровкой украденных данных с помощью специального ключа.

Операторы сами по себе действительно могут быть в полном неведении о содержании украденных данных из-за использования шифрования при хищении данных. Но, без сомнения, это говорит о слаженной работе хорошо финансируемой и организованной группы.

Несмотря на предпринятые этой группой меры по предотвращению раскрытия исходной информации и всей деятельности организации нападавших, мы смогли определить, что сервер созданный в мае 2012 предназначался для отправки Flamer командного модуля с инструкцией на заметание следов и самоуничтожение. Мы сами были тому свидетелями.

И, наконец, для доступа к панели управления нужен пароль, который хранится в виде хэша. Несмотря на наши попытки перевести хэш в обычный текст, мы не смогли определить пароль. Password Hash: 27934e96d90d06818674b98bec7230fa

Как потом оказалось этим паролем был код 900gage!@#. Благодарим Дмитрия Бестужева за предоставление этой информации.

Анализ работы этих C&C-серверов стал возможным благодаря совместным усилиями Symantec, CERT-Bund/BSI, IMPACT и Лаборатории Касперского. Подробный отчет см. в PDF-документе (4 Мб)."""

Symantec Security Response
Перевод с английского Энди-701, специально для КЛС

[Энди-701]

W32.Flamer.B: Обнаружен дополнительный модуль

"""В нашем совместном анализе командно-контрольных серверов W32.Flamer (см. пост выше), мы описали несколько протоколов C&C-серверов, обнаруженных в коде на сервере. Один из этих протоколов мы знали, что и было рассказано ранее. Другие оставшиеся протоколы ранее не наблюдались в дикой природе и у нас не было образцов вредоноса, которые их использовали.



Вновьобнаруженные образцы, по всей видимости, долго оставались незамеченными благодаря их узконаправленной специализации, но всё же были, наконец, определены и изучены.

Используемый протокол предназначен для модуля, который может работать независимо от W32.Flamer.

Мы добавили описание этой обнаруженной угрозы, как W32.Flamer.B .

Благодарим Kaspersky Labs за предоставленные образцы."""

Symantec Security Response